[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Конфигуратор файрволла

>>>> Ну да, графическая утилита не имеет такой гибкости.
>>>> Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP?
>>>> Какую дырку закрывать? Если появилась дырка, разве не придётся потом, всё-равно
>>>> разбираться и "штопать"..?
>>>> Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда
>>>> удобно и есть время), а быстро что-то прикрыть возможно через iptables, без
>>>> лишних скриптов?
>>> Гм... Можете представить пример, когда конфигуратор будет нагляднее
>>> чего-то такого:
>>> for i in `seq 2 50 | grep -v 33`; do
>>>    iptables -A FORWARD -j DROP
>>> done
> 
>>> А это вполне может быть в скрипте pre-up.
>> 1. Три строчки кода.
>> print "Heil, Welt!\n";
>> тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом
>> языке, в целом не может быть сложен для понимания.
> Это уже - культура написания. И внешний вид списка правил в гуях тоже
> может быть сложен для понимания, особенно, если на экран не влазит.
Это ещё и используемые алгоритмы, решаемые задачи, архитектура и ещё 100500
вещей. Если бы командные языки были нагляднее и удобнее, чем GUI, то GUI бы,
наверное, не было?

>> 3. Пример приводил. Я считаю, что fwbuilder - нагляднее.
> Почитал на него документацию. Без мыши неработоспособен, ибо на том же
> андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен -
> неудобен настолько, что им нельзя пользоваться.
Да, д-н-д, там не попользуешься. Зато есть контекстное меню:
"Скопировать-Вставить". :-)

> Конструкция из трёх строк там выльется в несколько экранов правил.
> Может быть оно и нагляднее, только если в трёх строках я вижу, что
> адрес, оканчивающийся на 33 таки не блокируется здесь, то среди N
> экранов можно и не углядеть.
Нет, отчего же? Вы можете дописать этот кусок в функцию, вызываемую при
окончании обработки правил.

P.S.:
Кстати, замечу, что вариант с добавлением большого количества правил, вероятно
не самый лучший, поскольку, как говорят, замедляет работу.
Тут вот:
http://doc.emergingthreats.net/bin/viewfile/Main/EmergingFirewallRules?rev=1;filename=emerging-ipset-update.pl.txt
есть скрипт, как раз для этого. Версия 2008-го использовала iptables. Текущая
использует ipset.
Reply to: